Selon les experts, on estime entre 30 et 80 milliards d’objets connectés à horizon 2020. Des objets qui collectent, stockent, analysent et communiquent des données qui nous concernent. La prophétie de George Orwell se réalise : 2017 sera très 1984.

La donnée à caractère personnel est à elle seule une petite richesse : elle s’échange quotidiennement sur le marché sans susciter d’émoi considérable. Mais ce qui nous attend est d’une tout autre dimension. Les premiers objets connectés ont commencé à discuter entre eux. Demain, ils partageront de manière autonome des informations, les centraliseront et pourront gérer nos vies sur une interface unique.

Accéder à cette masse de données personnelles permet de savoir si vous êtes absent de chez vous en étudiant les données liées à la programmation des radiateurs ou aux capteurs de mouvements associés au système d’éclairage. Ou bien connaître vos soucis de santé en analysant les données issues de votre bracelet, votre balance ou même votre oreiller connecté. Un autre exemple ? Déduire le nombre de personnes dans le foyer en accédant au contenu du frigidaire ou en comptant le nombre de douches quotidiennes, ou encore connaître vos moindres déplacements grâce aux capteurs embarqués dans votre véhicule. Le champ des possibles est immense.

Imaginez un chercheur de trésor endurci à qui on annonce la découverte de plusieurs dizaines de milliards de ruines encore non explorées. Un eldorado qui susciterait une ruée de tous ceux qui disposent des compétences nécessaires pour passer les obstacles et contourner les pièges. L’eldorado est là. Il est chez vous. L’explosion annoncée du nombre d’objets connectés en circulation a de quoi susciter bien des convoitises.

La littérature sur le sujet est gigantesque, et l’on ne compte plus les livres blancs et autres notes de cadrage, essais, articles, mémoires, éditoriaux… Côté pouvoirs publics, deux leviers principaux se dessinent pour protéger les citoyens des risques liés aux objets connectés : la contrainte et l’incitation.

Contraindre

Contraindre, c’est mettre en place une réglementation solide qui responsabilise un peu plus les constructeurs et leur impose le respect d’obligations nouvelles directement liées à la question de la protection de la vie privée. Du côté de la Commission Européenne, on assure que “l’internet des objets n’est pas une page blanche [et qu’] il existe déjà une importante réglementation”.

De fait, le nouveau règlement européen sur la protection des données, adopté en 2016 et applicable dès 2018 dans tous les pays de l’Union, prévoit des obligations renforcées pour les professionnels parmi lesquelles l’obligation de réaliser une étude d’impact préalable (dite “privacy impact assessment”) pour tout produit susceptible de présenter un risque pour la vie privée des consommateurs. Cette semaine, la Commission Européenne propose également une nouvelle régulation des télécommunications, qui renforcerait les garde-fous liés à la vie privée dans le cadre des communications entre machines.

Une réglementation qui n’est pas qu’une façade. “Dès l’instant où vous visez un citoyen européen, c’est la réglementation européenne qui s’applique” précise Olivier Desbiey, chargé des études prospectives au sein du Laboratoire d’Innovation Numérique de la CNIL (LINC). Il confirme d’ailleurs que de plus en plus d’entreprises, “notamment des start-up”, viennent consulter la CNIL sur les questions liées à la vie privée et la sécurité des données.

Inciter

Inciter, c’est encourager les constructeurs à adopter les bonnes pratiques en organisant l’information du consommateur. L’incitation c’est par exemple la création de labels fiables et de normes techniques reconnues qui permettent en un coup d’œil de distinguer un produit conçu dans les règles de l’art d’un produit à la fiabilité douteuse. En France, des autorités administratives comme la CNIL et l’ANSSI se sont très tôt mobilisées sur ce sujet et proposent déjà des certifications solides mais encore trop complexes pour le grand public.

Ce travail de certification est nécessaire et doit aller plus loin. Fin 2015, un rapport de l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA) tire la sonnette d’alarme : la plupart des vendeurs n’implémentent aujourd’hui que très peu de mesures de sécurités solides sur les objets connectés qu’ils vendent.

Contactée, une source au sein de la Commission Européenne distingue en fait les objets connectés de type industriel, qui font la part belle aux questions de sécurité, et les objets grand public, moins bons élèves. “Il existe encore un vrai questionnement sur la valeur ajoutée des objets connectés grand public, et les constructeurs travaillent dès lors davantage sur les prix ou sur les qualités intrinsèques de l’objet que sur la sécurité”. Il est facile de penser que l’impact sur la vie privée de “gadgets” connectés, dont on peine parfois à voir l’utilité concrète, est assez faible. Mais “les données générées sont rarement anodines”, souligne Olivier Desbiey de la CNIL.

Responsabiliser les consommateurs

Les constructeurs ne sont cependant pas seuls responsables et c’est aussi au citoyen et au consommateur de réfléchir à ses propres usages. Du côté de la CNIL, on met ainsi l’accent sur les bonnes pratiques à adopter lorsque l’on a acheté un objet connecté. “Il existe des précautions simples en terme d’utilisation”, rappelle Olivier Desbiey. Il conseille de prendre le temps de configurer l’appareil pour désactiver tout partage automatique de données, notamment vers les réseaux sociaux, d’utiliser autant que possible des pseudonymes lorsque l’appareil est lié à un service en ligne, de ne permettre l’accès aux données qu’aux seuls cercles de confiance ou encore de penser à sécuriser son smartphone par un code PIN (le smartphone étant de plus en plus souvent utilisé comme interface de contrôle des objets connectés).

Quant au choix de l’appareil que l’on va acheter, il est en revanche difficile d’adresser des conseils généralistes. Olivier Desbiey constate que de toutes petites structures qui lancent des produits sur des plateformes de crowdfunding sont parfois les meilleurs élèves en matière de sécurité et de vie privée ; ce type de commercialisation implique en effet en premier lieu de convaincre une communauté de connaisseurs qui sont très regardants sur ces questions.

En vérité, les citoyens et consommateurs que nous sommes n’ont de fait pas d’autre solution que de décider d’accorder ou non leur confiance à tel ou tel constructeur. C’est cette confiance qui permettra à un constructeur engagé de développer de nouveaux produits, et qui empêchera à l’inverse le maintien sur le marché de celui qui, par malhonnêteté ou négligence, n’aura pas tout mis en œuvre pour nous protéger.

Illustrations par Alec Kalthoff – http://aleckalthoffillustration.com